China sanciona ley de protección de información personal aproximándose a los parámetros del RGPD

La semana pasada China, siguiendo la tendencia mundial, sancionó la ley de protección de información personal (PIPL por sus siglas en inglés) que sigue en cuanto a sus lineamientos generales al Reglamento General de Protección de Datos de la Unión Europea (RGPD), convertido en un estándar mundial en materia de protección de datos personales.  Esta ley se complementa con el flamante Código Civil chino, que ha regulado el tratamiento de datos personales, y la ley de Seguridad Informática sancionada en junio de este año. 

La PIPL aplica tanto al tratamiento de datos personales llevado a cabo por el sector privado como por el sector gubernamental. Asimismo, respeta los criterios imperantes en las leyes más modernas sobre aplicación extraterritorial, es decir por más que el tratamiento de los datos se produzca fuera de China la ley resultará aplicable si el propósito es prestar servicios o productos a personas físicas, se realicen análisis o evaluaciones de actividades de personas físicas dentro del territorio chino o en las circunstancias dispuestas en leyes o regulaciones administrativas. Este último supuesto, que se reitera en diferentes situaciones bajo la PIPL, deja un margen de discreción amplio a las autoridades para extender la jurisdicción de esta ley a nuevos escenarios. 

La PIPL reconoce 7 bases legales para el tratamiento de datos personales, excluyendo al interés legítimo, y considerando al consentimiento como una base legal más salvo en lo que concierne a tratamiento de datos sensibles donde exige su presencia. Atento que esta ley define a los datos personales sensibles en virtud de la discriminación o  daño que pueden generar sobre sus titulares o sus bienes su revelación no autorizada esta categoría de datos es abierta, e incluyendo entre otros a los datos financieros y de localización.   

Los principios para el tratamiento de datos personales son muy similares a los del RGPD (rendición de cuenta, limitación de finalidad, minimización, apertura y transparencia del tratamiento, buena fe, precisión y certeza, limitación del plazo de almacenamiento) aunque no menciona expresamente los principios guía del RGPD (gestión de riesgos y responsabilidad proactiva). La intervención de autoridades estatales en el procedimiento de transferencia internacional anticipan, que luego de lo sostenido en el fallo Schrems II, China no será considerada como legislación adecuada bajo el RGPD a los fines de transferencia internacional de datos. 

Los responsables de transferencias internacionales de datos desde China deben cumplir previamente con una evaluación de necesidad de cualquier transferencia, evaluación de seguridad con las autoridades competentes y con un análisis de riesgo en el caso de tratamientos específicos (toma de decisiones automatizadas con impacto sobre los individuos, datos sensibles, delegación del tratamiento en terceros, transferencias internacionales etc). 

Otras de las obligaciones impuestas sobre los responsables es la designación de oficial de protección de datos considerando el volumen de datos personales tratados, cumplimiento de capacitaciones regulares en materia de compliance, adopción de medidas de seguridad y obligación de notificar a la brevedad a las autoridades cualquier brecha de seguridad ocurrida. Por su parte a las grandes plataformas se le imponen obligaciones específicas como fijar una organización independiente para supervisor las actividades de tratamiento y publicar reportes de responsabilidad social asociado al tratamiento de datos. 

A los titulares de datos personales la PIPL le reconoce una cantidad de derechos, similares a los del RGPD, como ser de información sobre el tratamiento de sus datos,  acceso a los datos, copiar, corregir, completar, supresión, obtener explicación sobre decisiones adoptadas automáticamente, a oponerse que se utilice solamente decisiones automatizadas y portabilidad. Y como novedosos se pueden mencionar el derecho a cobro de indemnización pecuniaria del responsable en caso de violación y el ejercicio por los herederos del titular una vez fallecido.   

Exclusivamente con fines de garantizar la seguridad pública se tolera el empleo de tecnología de reconocimiento facial. 

Las sanciones por violación de la ley pueden alcanzar el 5% de la facturación anual del infractor, no aclara si es a nivel mundial, o hasta U$S 7 millones y medio y puede implicar la registración en el sistema de crédito social. 

Dado que la fecha de inicio de vigencia de la PIPL es el 1 de noviembre de 2021 desde Crearis Latam nos ofrecemos a evaluar cómo puede llegar a impactar sobre vuestros negocios en China el surgimiento de esta nueva ley que busca proteger los datos personales.